Googleが、Gmailの仕様変更を始めている。これまでは変更不可だったGmailアドレスが、ついに変更可能になった。最初にこの機能が確認されたのはヒンディー語版のサポートページで、インド市場からの段階的展開がされているようだ。日米ではまだだ。年1回・通算3回まで変更でき、旧アドレスはエイリアスとして残る。良いことのようだが、その裏側には新たなセキュリティリスクが潜んでいる。
フィッシングの温床
セキュリティ専門家が最も警戒しているのが、フィッシング攻撃の急増だ。新機能への混乱を悪用し、「アドレス変更の確認が必要です」といった偽メールが大量に送られる可能性があるそうだ。Gmailアドレスはログイン認証に直結するため、ここを突破されればGoogleエコシステム全体が乗っ取られる。
とりわけ問題なのは、公式アナウンスがないまま情報だけが拡散しているのが今の現状だ。本物と偽物の区別がつきにくい環境は、攻撃者にとって絶好の機会になる。Googleは重要なアカウント変更を一方的なメールで通知することはなく、正式な手続きは公式アカウント設定内でのみ行われるが、こうした原則を知らないユーザーは容易に騙されるだろう。
サードパーティ認証の崩壊
「Googleでサインイン」を利用している外部サービスとの連携にも、深刻なリスクがあるという。Google自身が公式に警告しているとおり、プライマリアドレスを変更すると、この機能で作成した外部サイトのアカウントへのアクセスを失う可能性がある。
旧アドレスはエイリアスとして残るものの、認証に使っているサービス側は自動的に追従しない。手動で再設定が必要になるケースが多発し、ユーザーは突然ログインできなくなったサービスを前に途方に暮れるかもしれないことが予想されている。これは「自由を与えるはずの機能」が「アクセス障害の温床」に転じるリスクだ。Google Workspaceでも、エイリアス利用時に送信メールが「代理送信」と表示されたり、受信メールが正しく届かないトラブルが報告されているらしい。
アドレス乗っ取り詐欺の新展開
さらに憂慮すべきは、「アドレス変更詐欺」という新種の脅威だ。攻撃者は銀行口座やメールアカウントに登録された連絡先を不正に変更し、本人をロックアウトしながら認証コードや財務情報を自分の手元に集める。今回のGmail仕様変更は、こうした手口にさらなる隙を与えかねない。
この種の攻撃は複数段階で進行する。まず攻撃者は漏洩した認証情報を悪用してアカウントに侵入し、登録アドレスを書き換える。次に、新しいアドレス宛にカードの再発行を依頼し、本人が気づく前に有効化する。さらにパスワードやセキュリティ質問をリセットし、多要素認証を無効化または差し替える。被害者が異変に気づいたときには、口座からの出金や新規クレジット申請、投資資産の引き出しなどが既に行われているということになってしまう。
エイリアス仕様の盲点
エイリアスが「無期限に残り続ける」仕様も、両刃の剣となる可能性があるようだ。オンラインハラスメントから逃れたいユーザーには救済になるが、デジタルフットプリントを完全に匿名化しようとする試みを複雑にしてしまう。旧アドレスが永続的に保持されれば、それがデータ追跡の手がかりとして機能し続けるからだ。
さらに重要なのは、メールエイリアスはプライバシー保護には有効でも、セキュリティの脆弱性には無力だということらしい。パスワードが漏洩すれば、エイリアスも主要アドレスと同様に侵害される。エイリアス管理サービスのアカウントが乗っ取られれば、全エイリアスと転送設定が危険にさらされる。暗号化なしでは、メール内容はサービスプロバイダや傍受者に対して読まれてしまう。
ユーザーが取るべき防御策
では、どう対応すべきか。まず二要素認証の有効化が必須だ。アカウント設定の定期的な確認も重要で、予期しない住所や連絡先の変更通知、突然届かなくなった銀行明細、支払い拒否エラーなどは、すべて不正アクセスの兆候だ。 Gmailで登録している重要なアカウントには注意を払っている必要がある。
データ漏洩の監視も欠かせない。多くのアドレス乗っ取り詐欺は、情報流出で盗まれた個人情報から始まるからだ。漏洩監視ツールで自分のメールアドレスが公開されていないかチェックし、情報が流出していたら即座にパスワードを更新し、全主要アカウントで多要素認証を有効化する。クレジットレポートを定期的に確認し、身に覚えのない照会や新規口座がないか監視すべきだ。Have I Been Pwned(HIBP)は最も有名な無料サービスで、メールアドレスを入力するだけで過去のデータ漏洩事件に自分の情報が含まれていないかをチェックできる。世界中の主要な情報流出事件のデータベースと照合し、即座に結果を表示します
「アドレス変更の確認」を求めるリンク付きメールには、特に慎重になる必要がある。Googleが一方的にそうした要求をすることはなく、正当な変更手続きは必ず公式アカウント設定内で完結する。サードパーティアプリへのアクセス権限も定期的に見直し、不要なものは削除するべきだ。
便利さと危険のバランス
Gmailアドレス変更の解禁は、表面的には20年来の変更不可からの解放だ。しかし、その裏側には慎重に設計された制限と、新たな脅威の芽があることを忘れてはならない。
